可以只管危险行为,比如禁止cmd执行任务计划程序及powershell程序之类,其他不管,就既防止病毒利用cmd做坏事,也不影响正常应用,或者另外的思路——病毒用cmd启动powershell也好,还是用的程序启动它也好,最终,无非是驱使powershell联网去下载病毒或恶意文件,直接用防火墙禁止 powershell.exe联网,最终病毒折腾半天,啥也得不到,期待的事情没有发生,也就达到了防御的目的(病毒利用脚本之类联网下载病毒的事情同理可以防御)
给你参考,我用vse禁止联网的程序名单(你可以用eset的防火墙或者windows防火墙阻止):
bitsadmin.exe, certutil.exe, cmd.exe, cmstp.exe, CompatTelRunner.exe, conhost.exe, cscript.exe, curl.exe, dllhost.exe, IEExec.exe, msfeedssync.exe, mshta.exe, msiexec.exe, notepad.exe, powershell.exe, psexec.exe, regsvr32.exe, rundll32.exe, scrcons.exe, spoolsv.exe, SyncAppvPublishingServer.exe, Taskmgr.exe, tftp.exe, wget.exe, winlogon.exe, WMIC.exe, WmiPrvSE.exe, wscript.exe |
楼主: generalbasic008
楼主
发表于 2022-2-24 13:57:45
挺好的 ,有个基础的知识不懂为什么 都是用powshell去联网下载而不是直接用cmd去下载,powshell我是直接禁止启动的,反正用不到。有没有针对cmd高危启动的一些名单。